LDAP- AD pwd policy

最新推荐文章于 2021-08-17 10:01:42 发布
最新推荐文章于 2021-08-17 10:01:42 发布
阅读量1k 收藏
点赞数
分类专栏: LDAP 文章标签: LDAP password policy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a4453368/article/details/90080348
版权

公司使用的是2008版的Active Directory。

使用java去链接08版的windows修改08版的AD密码。密码策略有如下6种:
在这里插入图片描述
我们需要实现的是前5种。我们使用spring-ldap去做操作访问。

  <dependency>
      <groupId>org.springframework.ldap</groupId>
      <artifactId>spring-ldap-core</artifactId>
  </dependency>

有两种方法:updateCredentialToAd()和change()。而reset只会校验第4、5两条规则(length and complexity)。changeCredentialToAd()会校验所有5条规则!
刚开始一直使用reset密码,history策略总是不生效,后面google后才明白,原来有change密码功能!
上面大多数是用PHP写的代码,java写的参考此处:java changePassword

public void updateCredentialToAd(String ownerId, String plainTextPassword)
        throws UnsupportedEncodingException {
        UserAD user = adUserInfoDao.getUserInfoById(ownerId);
        ProfileServiceAssert.notNull(user, ProfileServiceExceptionEnum.USER_NOT_FOUND_AD, ownerId);
        Name dn = LdapNameBuilder.newInstance(user.getDn()).build();
        Attribute newAttr = new BasicAttribute("unicodePwd",
            ("\"" + plainTextPassword + "\"").getBytes(StandardCharsets.UTF_16LE));
        ModificationItem replaceItem = new ModificationItem(DirContext.REPLACE_ATTRIBUTE, newAttr);
        ldapTemplate.modifyAttributes(dn, new ModificationItem[] {replaceItem});
    }

    public void changeCredentialToAd(String ownerId, String plainOldPassword,String plainTextPassword){
        UserAD user = adUserInfoDao.getUserInfoById(ownerId);
        ProfileServiceAssert.notNull(user, ProfileServiceExceptionEnum.USER_NOT_FOUND_AD, ownerId);
        Name dn = LdapNameBuilder.newInstance(user.getDn()).build();
        Attribute oldAttr = new BasicAttribute("unicodePwd",
                ("\"" + plainOldPassword + "\"").getBytes(StandardCharsets.UTF_16LE));
        Attribute newAttr = new BasicAttribute("unicodePwd",
                ("\"" + plainTextPassword + "\"").getBytes(StandardCharsets.UTF_16LE));
        ModificationItem removeItem = new ModificationItem(DirContext.REMOVE_ATTRIBUTE, oldAttr);
        ModificationItem addItem = new ModificationItem(DirContext.ADD_ATTRIBUTE, newAttr);
        ldapTemplate.modifyAttributes(dn, new ModificationItem[] {removeItem,addItem});
    }

几个注意点:
1.修改密码后,AD是在10分钟(默认)后才会刷新,也就是说旧密码在10分钟内还是可以登陆使用的!如果要修改,这个就需要修改注册表了,很麻烦。
2.修改unicodePwd是需要用ssl加密连接来修改

踩到的坑,花较多时间的,想吐槽的是:
1.一直没明白password history与minimum password age 和 maximum password age关系。所以,搞了两天没明确把功能实现出来。问题也在于,官方文档对这三个策略的关系没有说完全:
Enforce password history: Enforce password history
直到看到个地方:Password Best practices在这里插入图片描述
才明白了maximum/minimum pwd age与history的关系:
1.min age是新密码必须使用的时间,设置之后,在minimum age里reset/change都不能成功
2.max age是密码过期时间,过期了,密码都会进入history
3.history 个数包含当前正在使用的密码。比如: history=4,则包含前面过期的3个密码+当前正在使用的密码。

补充:

  1. 5种密码策略,返回的异常分两种:
//不符合密码复杂度和长度
OperationNotSupportedException.class
//不符合minimun pwd age 和 enforce password history
InvalidAttributeValueException.class

2.2012版,不能通过修改系统时间来进行测试password age的问题。
而2008版,我们是通过修改系统时间来测试,让pwd进入history的。

小蝙蝠侠
关注
专栏目录
ldapldap系列-java对ActiveDirectory的增删改查,包含加密密码字段:unicodePwd
bpm的专栏
03-12 734
公司有几千号员工,使用ldap管理人员账号,开发了一套ad域的管理系统,方便人员入离职账号的统一管理、运维账号统一管理、单点登录管理、现将经生产环境运行稳定的代码放出,供大家参考,网上资料太少了,很多代码都用不了,基本一步一坑, 一些高级功能,可以加qq群:669293878 或微信:codearch讨论:例如ad域密码(unicodePwd)修改、查询翻页,对ad域的jdk免证书登录等。 本章是java对微软ActiveDirectory的增删改查操作,包含unicodePwd package.
LDAP密码修改系统 Self Service Password
奈文摩尔ST
09-18 1028
安装升级PHP https://www.centos.bz/2018/05/centos-6-7-%E5%8D%87%E7%BA%A7-php-5-6-%E5%88%B0-7-1-7-2/ 安装Self Service Password 下载地址:https://ltb-project.org/download#self_service_password 参考地址:https://ltb-project.org/documentation/self-service-password/latest/insta
达梦密码策略参数PWD_POLICY详解
weixin_44099972的博客
08-17 5837
查看系统管理员手册中该参数解释: PWD_POLICY 设置系统默认口令策略 默认值为2 动态,系统级参数 0:无策略 1:禁止与用户名相同 2:口令长度不小于9 4:至少包含1个大写字母(A-Z) 8: 至少包含1个数字(0-9) 16:至少包含1个标点符号(在英文输入法状态下,除"和空格外的所有符号) 若为其他数字,则表示配置值的和,如3=1+2,表示同时启用第1项和第2项策略。 当参数COMPATIBLE_MODE=1(等于1表示兼容SQL92标准)时,PWD_POLICY的实际值均为0 该参数没有包
ldap统一用户认证php,针对LDAP服务器进行身份认证
weixin_42596214的博客
03-11 631
Symfony提供了不同的方法来配合LDAP服务器使用。Security组件提供:ldap user provider,使用的是form_login_ldap authentication provider,用于针对一台使用了表单登录的LDAP服务器。同所有其他user provider一样,它可以同任何authentication provider一起使用。http_basic_ldap aut...
php ldap ad 登录验证,PHP中的LDAP身份验证 – 无需密码即可进行身份验证
weixin_42174176的博客
03-11 429
我在LDAP身份验证上遇到了一个奇怪的行为,我需要这个用他们的AD凭据来验证用户,这就是我所拥有的:session_start();$adServer = "MY IP";$ldapconn = ldap_connect($adServer) or $this->msg = "Could not connect to LDAP server.";$ldaprdn = "DOMAIN\\" ....
【电脑使用】修改注册表——让有密码的电脑开机自动登录
hi_xtm的博客
09-18 3446
在“开始菜单”——“运行”,运行Regedit命令,进入到注册表编辑器,定位到“HKEY_LOCAL_MACHINE/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon”子键。修改三项子键即可达到自动登录目的。 在右侧窗格中找到“AutoAdminLogon”键值项并双击,打开编辑字符串对话框,把数值数据设为1(0为非自动登录),确定后关闭注册表并重启系统就可以实现系统自动登录了。 在右侧窗格中找到DefaultUserName键值项,该键值对应的就是
win2012 ad用户和计算机,Server2012R2搭建AD域服务器并添加登录用户
weixin_36256917的博客
06-20 1619
只选择Active Directory域服务 下一步不选,继续下一步 完成安装,并将此服务器提升为域控制器 添加新林,并添加要域名,然后下一步 添加密码,下一步 忽略,继续下一步 忽略,继续下一步 安装 完成之后会自动重启 重新启动之后,已经切换到DEV域了 使用win+r, ldp验证 administrator验证成功ld = ldap_open("192.168.22....
ubuntu加入Windows的AD域(使用SSSD和Realm的方式)
马哥私房菜
05-14 1万+
ubuntu加入Windows的AD域(使用SSSD和Realm的方式)
OpenLDAP+freeradius+samba+802.1x实现无线和有线网络认证+动态vlan下发——openLDAP
小李的csdn
12-26 5794
文章目录一、环境准备(一)LDAP环境搭建 一、环境准备 1.服务器信息 名称 系统版本 配置 ip地址 ldap-master CentOS 7.6(core) 2c 2g 50g 192.168.3.130 ldap-slave CentOS 7.6(core) 2c 2g 50g 192.168.3.131 redius-master CentOS 7.6(core)...
AD-查看密码策略Get-ADDefaultDomainPasswordPolicy
weixin_33810006的博客
11-09 1166
查看密码策略,常用的是通过“组策略管理控制台”几步操作才能查看。 使用Get-ADDefaultDomainPasswordPolicy能直接查看密码策略。 如下图 本文转自cix123 51CTO博客,原文链接:http://blog.51cto.com/zhaodongwei/1966238,如需转载请自行联系原作者...
ad 密码不满足密码策略的要求 解决办法
郭胜龙的技术博客
01-17 1万+
密码不满足密码策略的要求 解决办法 “密码不满足密码策略的要求,检查最小密码长度、密码复杂性和密码历史的要求”的解决办法 由于域的规约而导致的问题,问题在于密码设定不符合策略组的规约。此时需要到域策略中设置响应选项来降低密码的复杂度。(默认的复杂度需要至少7字符,且包含多个字母和数字) Windows Server 2003解决办法是: 选择 开始>程序>管理工具>
AD域建设管理(二)| python3+ldap3管理AD域实践(批量创建OU、用户、改密码、更新OU与用户)
本博客暂停使用
04-03 1万+
AD域建设管理(二)| python3+ldap3管理AD域实践(批量创建OU、用户、改密码)
Ldap同步报错 [LDAP: error code 21 - 00000057: LdapErr: DSID-0C090EC7
smile13672205014的博客
09-09 5296
Ldap同步报错 [LDAP: error code 21 - 00000057: LdapErr: DSID-0C090EC7 异常: javax.naming.directory.InvalidAttributeValueException: [LDAP: error code 21 - 00000057: LdapErr: DSID-0C090EC7, comment: Error in a...
OpenLDAP的密码策略实现
热门推荐
wilbertzhou的专栏
12-16 2万+
OpenLDAP的密码控制策略很强大,可以控制: 密码的生命周期(最大和最小值);保存密码历史,避免在一段时间内重用相同的密码;密码强度,新密码可以根据各种特性进行检查;密码连续认证失败的最大次数;自动账号锁定;支持自动或管理员解锁账号;优雅(Grace)绑定(允许密码失效后登录的次数);密码策略可以在任意DIT范围定义,可以是用户、组或任意组合。 具体ppolicy的规格细节参考:htt
【指导】配置 OpenLDAP Pasword policy (ppolicy)
Christine Blog
09-05 1万+
加载 ppolicy schema/加载 ppolicy module/加载 ppolicy overlay/配置 default PPolicy 和规则
Toad的TNS连接还是Direct或者LDAP
kk121150的博客
12-05 1834
TNS是Oracle Net的一部分,专门用来管理和配置Oracle数据库和客户端连接的一个工具,在大多数情况下客户端和数据库要通讯,必须配置TNS,当然在少数情况下,不用配置TNS也可以连接Oracle数据库,比如通过JDBC. Oracle:TNS   Oracle中TNS的完整定义:transparence Network Substrate透明网络底层,监听服务是它重要的一部分,不是全...
域用户管理和修改域密码策略
前哨瞭望
12-19 1万+
以域管理员账户登录,即 域名\administrator 1. 服务器控制台--添加功能--组策略管理 2. 点击开始→程序→管理工具→点击组策略管理 3. 在打开的组策略管理,展开林→域→域名→组策略对象→右击Default Domain Policy,选择编辑 4. 在打开的组策略管理编辑器,依次展开计算机配置→策略 5. 展开Windows设置→安全设置→账户策
Internet Systems Consortium DHCP Server 4.2.5 Copyright 2004-2013 Internet Systems Consortium. All rights reserved. For info, please visit https://www.isc.org/software/dhcp/ Not searching LDAP since ldap-server, ldap-port and ldap-base-dn were not specified in the config file
最新发布
07-13
感谢您的提问!根据您的描述,这是ISC DHCP服务器的版权信息。ISC DHCP服务器是一种用于动态主机配置...由于配置文件中没有指定ldap-server、ldap-port和ldap-base-dn,所以不会搜索LDAP(轻型目录访问协议)服务器。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值